rc3 Vorspannmusik Herald: Als nächstes kommt ein Talk auf den ich mich schon den ganzen Tag freue. Und zwar "Digitalisierung. In eriner Pandemie. Im Gesundheitsamt!". Deutsche Behörden und Digitalisierung ist ja eher ein Oxymoron als schöne Wirklichkeit. Und was man dann erlebt, wenn Gesundheitsämter in einer Pandemie auf einmal wirklich relevant werden, das wird uns jetzt Bianca Kastl erzählen. Bianca: Guten Abend, mein Name ist Bianca Kastl und das Thema für die nächsten 40 Minuten bei diesem Talk ist "Digitalisierung. In einer Pandemie. Im Gesundheitsamt!". Jo, wer bin ich? Mein Name ist Bianca, ihr findet mich unter bkastl.de im Wold Wide Web, bei Twitter unter @bkastl und bei Mastodon @bkastl@mastodon.social. Wenn Ihr zufällig mein Büro finden solltet, dann steht davor das Thema "Digitalisierung". Das ist nämlich mein Büroschild. Und das ist tatsächlich auch das, was ich beruflich eigentlich aktuell gerade mache, denn ich bin, naja, hab so ein bisschen 'ne Karriere hinter mir in dem Bereich. Ich bin eigentlich Software-Projektmanagerin, bin Web-Entwicklerin, habe aber wärend der Pandemie die digitale Kontaktnachverfolgung in verschiedenen Gesundheitsämtern betreut, arbeite aktuell an einer Digitalisierung im Gesundheitsamt Frankfurt, wie erwähnt, das war dazu das Schild, bin die Verfahrensverantwortliche für das Thema IRIS connect, das ist eine Schnittstelle für Kontaktnachverfolgung in aktuell 5 Bundesländern, und ich habe auch schonmal die Luca App gehackt, vielleicht kennen mit die einen oder anderen dazu. Jo, dieser Talk ist eigentlich ein Meta Talk. Das heißt, dieser Talk geht nicht auf sehr viele fachliche Details in der Tiefe ein, geht aber auf sehr viele verschiedene Bereiche, die alle irgendwas mit Digitalisierung, Problemen und Erfahrungen in dem Bereich zu tun haben ein. Wenn ihr jetzt irgendwelche Luca- Talks von mir suchen wollt, die gibt's im am Ende auch im Anhang. Aber das ist jetzt ersmal so der Versuch, den ich gemacht habe: "10 Erkenntnisse aus dem Versuch, die Pandemie mit digitalen Tools besser zu bewältigen" in relativ kurzer Form überblicksweise zu vermitteln. Das hat erstmal keine Priorität, diese 10 Erkenntnisse, sondern das ist erstmal so eine historische, chronologisch gewachsene Kenntnis, die man so vielleicht auch ein bisschen aus der Erfahrung der letzten Zeit mitgeben kann. Falls ihr euch fragt, wie ich zu dem Thema digitale Kontaktnachverfolgung, Gesundheitsämtern kam, das ist eigentlich eine sehr, sehr spannende Geschichte, weil irgendwann im August 2020 wurde ich mal angerufen und es kam an mich der Auftrag "Ja, Frau Kastl, Sie müssen uns dabei helfen, die Zettelwirtschaft im Gesundheitsamt abzuschaffen.". Das war auch schonmal eine sehr konkrete Ansage, was ich denn eigentlich zu tun hätte. Wie ich dann dazu kam und was dann daraus passiert ist, werden wir nachher noch mitkriegen, aber tatsächlich ist mein Einstieg in das Thema "Digitalisierung von Gesundheitsämtern" ein sehr praktisches gewesen, nämlich tatsächlich in dieser Pandemie in dem Bereich. Wir haben grad Pandemie, wir haben sehr viele Daten, müssen Kontakt nachverfolgen, können uns dabei helfen. Dazu aber später noch ein bisschen mehr. Erste These, erste Erfahrungen, die man bei digitaler Kontaktnachverfolgung ganz besonders hat, aber auch bei anderen Themen, sei es beim Thema Impfen oder wie auch immer. Das schlechte Benutzererfahrung nicht skaliert. Das ist eigentlich offensichtlich, nur muss man es glaube ich im Thema der Digitalisierung idie jetzt in Gesundheitsämtern passiert dann noch ein bisschen anders sehen. Wir haben ja so Szenarien, die sich ganz gerne wiederholen von Benutzerflows. Dann haben wir zum Beispiel diesen hier. Es kam neulich mal die Ansage Mitte des Jahres. Sag mal, du Bianca, wir legen total viele Kontaktpersonen im gleichen Haushalt an. Kann man das nicht irgendwie vereinfachen? Ähm, das ist eigentlich immer der gleiche Vorgang. Man telefoniert mit einer positiven Person, die hat meistens dann halt Corona und frägt die dann: Ja, Sie sind jetzt positiv. Jetzt haben sie vielleicht irgendwelche Kontakte. Die müssten wir jetzt isolieren, damit wir die Ansteckung eindämmen können. Wer ist denn da so noch Kontaktpersonen bei Ihnen? Man wird dann feststellen. Ja, also natürlich, ich bin, wohne im Haushalt. Dann ist z.B. meine Familie, die Kinder, ähm, Lebenspartner, -partnerinnen. Und, und von denen muss man eigentlich irgendwie Daten erheben. Weil es geht darum, dass man natürlich denen einerseits vielleicht Quarantäne-Bescheide erstellt. Es geht aber auch um Abrechnungen von, z.B. Ausfall von Arbeitsleistung. Das ist eigentlich ein Datenerfassungsvorgang. Das passiert sehr häufig über Telefon. Das es sehr wenig digitalisiert. Ich habe tatsächlich... Mein Einstieg in das Thema war, diesen Prozess zu digitalisieren. Aber das ist tatsächlich telefonieren. Leute fragen, wen sie getroffen haben in dem relevanten Zeitraum und davon dann die Daten aufnehmen. Dieser Prozess passiert bei jedem, bei jedem Fall eigentlich. Zumindest, als es noch anständige Kontaktnachverfolgungen in Anführungszeichen gab. Immer wieder von vorne. Das heißt, wir haben zum Beispiel 100 Fälle pro Tag. Haben dann die Erfassung von Kontaktpersonen. Das sind so 4, 5 in der Zeit 2020. Das ist natürlich in der Zeit, in der wir jetzt leben, mit vielen Kontakten oder wo wir viele Kontakte hatten, sind es natürlich sehr viel mehr. Also heißt das, man macht den gleichen Benutzerflow, den man auch immer händisch am Telefon quasi durch telefoniert und abtippt immer wieder. Der heißt Ich möchte zu einem Fall eine Kontaktperson anlegen. Die möchte ich dann auch noch sagen, ist im gleichen Haushalt. Die hat dann wahrscheinlich die gleiche Adresse, wie die Index Person. Also der positive Corona-Fall. Hat dann vielleicht auch die gleiche Telefonnummer und sehr viele Daten werden sich gleichen. Aber irgendwie fehlt dazu wahrscheinlich so ein Nutzerflow. Das ist eigentlich in der Benutzererfahrung relativ einfach zu lösen, indem man einfach einen Button schafft, der sagt: Naja, neue Kontaktperson im Haushalt anlegen. Nun muss man dazu natürlich diesen Prozess auch wirklich tatsächlich mal begleiten. Man muss Leuten zuhören und sie fragen: Ja, was behindert euch denn bei der Benutzung von unserer Software denn am ehesten? Wo könnte man am ehesten optimieren? Wo können wir denn kontinuierlich optimieren? Und erst dann kommen auch so Einsparungen, die sich tatsächlich aus der Benutzung ergeben, wie dieses beim Telefonieren die ganze Familie erfassen. Da würde ein Button helfen, dass man so eine Software tatsächlich auch besser macht. Denn Software, damit sie sinnvoll genutzt werden kann. Und dass Software oder Dienstleistungen wirklich sinnvoll genutzt werden können, braucht es nicht nur gute Konzeption zu Beginn, sondern es braucht auch immer die Adaption an die Benutzung und es braucht konstante Begleitung. Und ich kann euch sagen, dass als wir diese Kontaktnachverfolgungssoftware entwickelt haben, in einem agilen Verfahren. Es war kein SORMAS. Es tut mir leid. Haben wir da auch relativ gute Erfahrungen gemacht, zu sagen: Ja gut, lass uns doch mal gucken, was haben wir denn für Benutzungsflows, die wir ständig optimieren können, weil da wir auch tatsächlich Zeit sparen, weil sich die wiederholen, da ist Potenzial drin. Und ja, die haben wir quasi dann kontinuierlich eigentlich in so einem agilen Benutzungs-User-Story-Szenario optimiert und das hatte tatsächlich auch nachher dann positive Auswirkungen. Wie gesagt, in einem Gesundheitsamt, in der Pandemie. Das geht alles. Zweite These: Softwareprozesse solltest du immer lauffähig halten. Ein Szenario, was wir im Januar 2021 hatten, war der erste B.1.1.7-Fall. Das ist das, was man heute unter Alpha kennt. Das ist eine Virusvariante. Die war damals halt quasi die erste große Virus Variante, die bedeutend war. Früher gab es den Wildtyp. Das war nur Corona und dann gab es die Virusvariante B.1.1.7 und das war damals im Januar 2021, als es nach Deutschland kam etwas Besonderes. Weil es war natürlich noch mal ansteckend, es war gefährlicher. Und ja, wie passiert sowas dann? Wie kriegt man so so Mutanten in ein System rein? Ja gab irgendwann an nem Donnerstag, gab es einen Anruf, der hieß dann: Ja, jetzt müssten wir mal schnell mal das mit den Mutanten da rein kriegen. Das haben wir dann auch sehr, sehr schnell aufgenommen, weil wir auch wussten, das ist natürlich relativ eilig. Das sollte man auch sinnvoll erfassen, weil sich dadurch, durch Mutanten auch verschiedene Containment Strategien daran anschließen. Weil Mutanten muss man unter Umständen besser isolieren als normale Fälle. Weil die ist ja beide irgendwie... schon schlimm sind, aber Mutanten waren damals halt noch, nochmal um so schlimmer. Und dann war die Ansage: Baut mal da dieses Thema mit Virusvarianten in das System ein. Und ja, haben wir gemacht, hat drei Stunden gedauert. Nach drei Stunden waren wir fertig und haben es dann am Abend deployed. Ähm. Das klingt jetzt irgendwie nicht so beeindruckend. Man muss es aber glaube ich auch so sehen, dass das natürlich auch, äh, ein laufendes Produkt war, was man einfach kontinuierlich erweitern konnten. Und es stellte sich raus, als wir das am Donnerstag deployt hatten... Wir dachten uns ja, das haben jetzt mal sinnvoll erstellt, haben wir schnell erledigt. War gut. Werden wir jetzt bald in zwei Wochen brauchen. Ne, es hat sich rausgestellt: dieses Feature, was wir am Donnerstag fertiggestellt hatten, wurde dann am Samstag schon benötigt, weil es am Samstag den ersten B.1.1.7 Fall gab in dem Gesundheitsamt, was ich damals betreut hatte. Und man kann durchaus sagen, dass wir dann eigentlich so schnell reagiert haben auf die Veränderungen, die es eben gab, ähm, dass wir dann... Eigentlich das Feature als wir das deployed hatten, war der erste Fall, der dafür relevant war, schon unterwegs. Das heißt, das ist auch die Agilität und die Flexibilität, mit der man auch in Softwareprozesse rangehen muss. Das war so ein bisschen wie ein... Ja, was jetzt aktuell mit log4j so bisschen rumschwirrt. Da muss man auch schnell reagieren und das war mit den Virusvarianten tatsächlich in der Softwareentwicklung genauso. Das geht aber nur, wenn du lauffähige Prozesse hast. Das heißt, wenn du auch Deployment, wenn du Entwicklung, wenn du alles das aktiv hast und auch relativ schnell wieder aktivieren kannst. Und es ist nie nur ein Projekt, wo du sagst, es ist abgeschlossen, es wird nie wieder weiterentwickelt, das wird nie wieder angefasst, sondern es ist immer auch ein lebendes Produkt Software. Und Projekte sind immer so abgeschlossene Dinge, die man nie wieder anfasst. Das ist es aber nie. Speziell auch nicht in einer Pandemie. These Nummer drei: Agiles Arbeiten kann auch in einer Verwaltung funktionieren. Das klingt so ein bisschen utopisch. Ähm, Verwaltungen, agil arbeiten, das passt eigentlich gar nicht. Ich kann aber bestätigen: es kann funktionieren. Ähm. Eckdaten dazu: Wir hatten sechs Monate lang ein agiles Softwareprojekt. Das war eigentlich fully remote. Also teilweise waren auch die Leute in der Verwaltung, die diese Software genutzt haben und mit uns entwickelt haben, remote beteiligt an diesem Projekt. Jetzt hab ich Projekt gesagt. Naja, an dieser Software. Und wir haben tatsächlich dann über Videokonferenzen und voll remote dieses Thema 6 Monate lang entwickelt. Wir haben das in Scrum getan. Es gab 2-Wochen- Sprints. Wir haben es auch mal mit kürzeren Sprints versucht, weil das Thema so dynamisch war. Es ging tatsächlich um Kontaktnachverfolgung und was da eben so sich auch dynamisch verändert. Und ein sehr dynamisches Feld übrigens. Und ja, wir haben dann versucht, mal kürzere Sprints zu machen. Hat nicht so ganz funktioniert. 2-Wochen-Sprints sind für ne Verwaltung eigentlich ganz okay, weil da ändert sich kontinuierlich was. Aber Leute können dann Leute auch gegenseitig schulen, dass sich was verändert. Das hat ganz gut funktioniert. Und was tatsächlich auch ganz gut funktioniert hat, erstaunlicherweise, war softwarebezogene Kommunikation über GitLab. Das heißt, Leute in Issues und in Meilensteinen und in projektbezogene Kommunikation einzuführen und nicht irgendwelche E-Mails wüst hin- und her zu schicken, hat wunderbar funktioniert, wurde wunderbar angenommen, war für alle Leute gut einsehbar und war eigentlich ein voller Erfolg. Ich weiß eigentlich nicht, warum wir nicht mehr über so Strukturen wie z. B. GitLab oder Issues, Meilensteine, Projekt-Boards bei manchen Dingen arbeiten, scheint in Verwaltungen einfach noch so ein bisschen verschlafen worden zu sein. Das Ergebnis dieses ganzen Softwarevorgehens war, dass wir diese Kontaktnachverfolgung von Fällen und Kontaktpersonen messbar auch tatsächlich zu 90% aller Fälle und Kontaktpersonen tagaktuell erreicht haben. Das heißt, wir haben 90% aller Fälle und Kontaktpersonen, diese Person auch am gleichen Tag erreicht. Das ist auch das, was du ansetzen musst, um überhaupt irgendwie eine Eindämmung in dieser Pandemie zu erreichen. Da muss alles das, was du verarbeitest, eigentlich tagaktuell sein. Wir haben auch eine digitale Einbindung aller Beteiligten an diesem ganzen Prozess hinbekommen und zwar über eine Plattform. Da war beteiligt u. A. das Gesundheitsamt natürlich. Das Gesundheitsamt ist dafür zuständig, diese Kontaktperson zu erfassen, diese Fälle zu erfassen. Aber das geht dann auch weiter an Ordnungsämter, die sich dann kümmern um Quarantänebescheide. Zumindest ist das so in Baden-Württemberg. Und das geht dann auch noch an Ortspolizeibehörden, die sich dann um die Quarantäne-Überwachung kümmern. Das heißt, wir haben auch noch 23 Gemeinden angebunden an ein System. Das war durchaus spannend, auch als wir denen dann erklärt hatten, dass sie jetzt Zwei- Faktor- Authentifizierung nutzen müssen. Hat auch funktioniert. Und ja, es war kein SORMAS. Zu SORMAS aber später noch mehr vielleicht. Aber wie ihr seht: Es kann tatsächlich auch in einer Pandemie funktionieren, digitale Software agil zu entwickeln, auch in einer Verwaltung, weil Leute auch gesehen haben: Okay, da sind sehr viele Daten, da müssen wir unsere Prozesse irgendwie optimieren und gucken, dass wir das auch irgendwie besser hinkriegen. Und wenn du mit vielen Daten und Leuten und mit einem gewissen Druck, die auch erkennen, dass sie ihre Prozesse auch selbstständig beeinflussen können, zum Besseren wandeln, dann haben die da auch tatsächlich Lust drauf, das zu tun, auch wenn sie in der Verwaltung sind. Das ist die Erkenntnis, die ich jetzt da mitgeben kann. Ich weiß nicht, ob es außerhalb dieses Pandemiekontextes so gut funktioniert hätte. Aber dadurch, dass da kontinuierlich auch immer eine gewisse Arbeitslast da war, hat es erstaunlich gut funktioniert. Ja, gut funktioniert ist auch so ein Thema. Was glaube ich auch wichtig ist, wenn man irgendwelche Learnings hat, wenn man irgendwas Gutes tut, sollte man auch darüber schreiben. Ich habe im März 2021 diesen wunderbaren Artikel verfasst: "Die Corona Schnittstellenlage und andere Probleme". Das ist ein Artikel, der beschreibt eigentlich so ein bisschen, wie die Systematik mit SORMAS funktioniert, was ist DEMIS, also DEMIS ist die Schnittstelle für Labordaten. Dann gibt es SORMAS zum Beispiel, dann gibt es SurvNet, wo dann diese Fälle übermittelt werden in Gesundheitsämtern. Das war eigentlich so ein Grundlagenartikel. Den Grundlagenartikel habe ich wie gesagt am 1. März veröffentlicht. Der lag dann so ein bisschen rum und hatte irgendwie so ein bisschen Wind aufgenommen. Und dann kamen relativ spannende Reaktionen zurück. Ich habe mal Fanpost bekommen von Smudo, also dem Smudo, der dann nachher dann versucht, die luca-App zu verkaufen. Der schreibt jetzt, glaube ich, keine Fanpost mehr, aber damals gab es Fanpost von ihm. Es gab relativ viele Reaktionen von Menschen, die da fachlich auch Ahnung von hatten. Ich habe ja auch Anfragen von Menschen bekommen, die einfach mal erkannt haben: Guck mal, du hast ja von dem Thema wirklich Ahnung, kannst du mal mir das und das erklären? Eigentlich nur, weil ich einen Artikel geschrieben habe. Also den Artikel, war wohl nachweislich irgendwie ganz okay. Aber wie ihr merkt, es ist glaube ich immer sinnvoll, egal in welchen fachlichen Kontexten ihr unterwegs seid, da auch über eure Erlebnisse und euer Wissen das auch zu teilen. Und ich weiß nicht was passiert wäre, hätte ich diesen Artikel nicht geschrieben. Ich würde wahrscheinlich nicht hier sitzen und diesen Vortrag halten. So kann man es eigentlich auch sehen. Und ja, also wie gesagt, wenn ihr gute Sachen tut, schreibt darüber. So, kommen wir zu dem Thema Digitalisierung. Mein aktuelles Lieblingsthema. Und dazu die folgende These: Sinnvolle Digitalisierung elektrifiziert nicht einfach nur analoge Abläufe. Das gab es früher mal unter der platten Formulierung "Wenn du einen Scheißprozess digitalisierst, hast du einen scheiß digitalen Prozess." Ich würde das jetzt erstmal so formulieren, dass die Digitalisierung halt mehr ist als das, was man analog hat irgendwie mit elektronischen Kommunikationsmitteln aufzubohren. Man sollte sich bei so Digitalisierungsthemen auch immer die Frage stellen: Welches Problem wollen wir denn eigentlich wirklich lösen? Und dazu gibt es zwei Beispiele. Das ist die wunderbare Meldekette. Die nennt sich das German computerized reporting system. Das ist eigentlich das, wie die Meldekette von Corona-Fällen immer noch größtenteils funktioniert. Das ist entnommen aus einer Beschreibung von SurvNet aus dem Jahre 2006, eigentlich 15 Jahre alt, aber wir sehen das zum Beispiel, wenn ein Patient von einem Labor einen Erregernachweis bekommt, geht dieser Erregernachweis - damals ging es noch über Fax, inzwischen geht er digital - über DEMIS, also eine digitale Schnittstelle, die auch in dieser Pandemie geschaffen wurde, an das local health department, also das Gesundheitsamt. Das Gesundheitsamt hat dazu auch noch personenbezogene Daten von dieser Person, um mit dieser Person in Kontakt zu treten. Das Gesundheitsamt schickt dann diese Daten via SurvNet über eine Art E-Mail, also das ist eine E-Mail mit Transportdaten, an das state health department, also meistens das Landesgesundheitsamt. Und das wiederum fasst diese Dinge zusammen und schickt diese Dinge dann, auch wiederum via SurvNet, ans Robert-Koch-Institut. Am Ende kommen dann beim RKI immer so diese Tageszahlen von Coronafällen oder anderen Infektionskrankheiten, aber aktuell ist Corona das, was Leute interessiert. Und wir sehen dann hier so Themen wie: Da hatte man mal vom Labor zum Gesundheitsamt 24 Stunden Delay. Das kommt immer noch ganz gut hin. Der Delay zwischen dem Gesundheitsamt und dem Landesgesundheitsamt ist ein bisschen kürzer geworden, zumindest nicht mehr Tage und ist auch nicht mehr eine Woche, wo das Landesgesundheitsamt braucht, um's an's Robert-Koch-Institut zu schicken. Das macht es eigentlich inzwischen täglich, aber der Prozess ist als solcher schon noch im Wesentlichen der gleiche. Es wird immer noch über mehrere Ecken dieses Thema durch die Gegend geschickt und deswegen, weil es über so viele Ecken durch die Gegend geschickt wird unabhängig davon, ob's jetzt SORMAS ist oder nicht, wird es jetzt auch nicht unbedingt vom Prozess her schneller und effizienter, sondern es ist halt immer noch ein Prozess mit sehr, sehr vielen Fallstricken. Auch wenn du irgendwann mal SORMAS einsetzen würdest und sagst "Das finden wir total toll" hast du immer noch vorne irgendwas, wo du Falldaten übermitteln musst, hast auch nachher noch eine Anbindung an SurvNet, hast manchmal auch eine Anbindung an die Landesgesundheitsämter. Also wie gesagt, SORMAS ist einfach nur eine moderne Hülle für den aktuell eh nicht so wirklich gelungenen Prozess. Denn die Frage ist eigentlich: Geht es uns um einen schnellen, möglichst aktuellen Überblick? Oder geht es darum, dass wir die Verwaltungsstrukturen, die wir eigentlich haben, digital abbilden wollen? Diese Struktur, die ich euch gerade eben gezeigt habe mit dieser Meldekette von, ja, geht erst mal ans Gesundheitsamt, dann geht's einmal von dem Gesundheitsamt ins Landesgesundheitsamt und dann jetzt geht's noch ans RKI, ist einfach eine normale Verwaltungsstruktur, weil halt so die Zuständigkeiten in diesem Bereich sind. Und das hat man digital abgebildet. Dass das natürlich jetzt nicht wirklich gut skaliert, dass Meldeketten in Deutschland so ein bisschen ineffizient sind und so weiter, liegt aber auch daran, dass natürlich die technische Reife der Lösung dazwischen nicht wirklich gut ist, das nicht wirklich skaliert. Man hat einfach gesagt: Okay, man nimmt das, was man als Verwaltungszuständigkeit hat, und baut so eine Meldekette und macht das dann digital. Das ginge auch wesentlich effizienter, schneller. Es ist zum Beispiel auch sehr spannend, dass diese Meldeketten von Gesundheitsämtern auch immer nur einmal am Tag ausgeführt werden. Das weiß auch kein Mensch, warum, aber das ist halt so dieser digital nachgebaute Aktenlauf. Menschen in Gesundheitsämtern fragen mich, warum sie denn das immer noch manuell übermitteln müssen, wenn sie den Fall schon abgeschlossen haben. Ja, man hat einfach so ein bisschen dieses Verwaltungsdenken - mit Akten und man packt die Akten dann auf ein Wägelchen und schiebt die dann weiter zur nächsten Stelle - digital abgebildet. Und ja, man könnte dieses Prinzip auch einfacher machen. Man könnte da natürlich ein paar Teile der Kette raus nehmen, effizienter machen, aber es ist auch irgendwie, nach außen wirkt es so, als wäre es digital. Es ist aber eigentlich nur ein elektrifizierter Aktengang von einer zur nächsten Behörde und dementsprechend auch nicht wirklich schnell und auch nicht wirklich immer sehr resilient. Der nächste Kandidat für das Thema Elektrifizieren von Prozessen, den ich habe, ist das wunderbare Thema Luca. Das ist so eine Chronologie von dem, wie bei Luca dann Daten abgefragt werden: Man nimmt die Meldung vom Gesundheitsamt, dann wird die Person kontaktiert. Die gibt dann Dinge frei, die merkt dann: Okay, man muss bei einer Location dann Dinge anfragen und dann werden diese Dinge dann freigegeben und dann kann man von den Check-Ins gucken, wer dann Kontakt hatte. Man versucht dann, diese Leute irgendwie zu kontaktieren, sei es jetzt per Telefon oder inzwischen seit neuestem wohl auch per Chat oder per Warnung oder wie auch immer. Aber es ist ein manuell ausgelöster Prozess. Dieser Prozess hat natürlich von dem hier funktioniert, auch mal die große Frage: Was sollen wir jetzt hier eigentlich damit tun? Will ich möglichst schnell Leute bei Risikokontakten warnen? Das würde einfach implizieren, naja, positive Personen waren Kontakte, vielleicht in digital, so wie es zum Beispiel die Corona-Warn-App tut? Oder möchte ich diesen Datenerhebungsvorgang, der quasi bei Luca immer stattfindet? Also ich habe mich wo eingecheckt, habe mich registriert und habe dann quasi meine Daten digital angegeben, schicke die dann quasi an einen Server, wo die Sachen vom Gesundheitsamt abgefragt werden und abgearbeitet werden. Möchte ich den nachbauen? Wie gesagt, wieder ein elektrifizierter Prozess nicht wirklich komplett digital gedacht, sondern einfach nur ah ja, das was in der Corona- Verordnung drin stand, bestmöglich versucht zu digitalisieren. Man hat auch ein paar Kollateralschäden im Bereich der IT-Security erzeugt. Super. Aber ja, das ist nicht wirklich die, die Evolution im Sinne eines gelungenen digitalen Prozesses. Wir erkennen: konsequente Digitalisierung verändert die Zuständigkeiten teils völlig. Sie gibt etablierten Strukturen vielleicht sogar das Gefühl, keine Kontrolle mehr über den Prozess zu haben. Was meine ich damit? Dieser eigentlich gelungene dgitale Warn- Prozess, den wir jetzt zum Beispiel bei der Corona-Warn App-haben. Ist halt tatsächlich einer, der hat gar keine Zwischenhändler von Daten mehr, sondern es ist quasi immer direkt die entsprechende Person gibt ihr Testergebnis frei und warnt damit Andere. Das ist der direktmöglichste Weg. Das ist aber auch der, der am schnellsten funktioniert. Und das ist auch der, der am resilientesten funktioniert. Weil wenn ein Teil der Kette rausfällt, dann haben wir jetzt mal nen Test weniger. Aber die generelle Kette hängt nicht irgendwie an einzelnen Single Points of Failure. Ja, aber natürlich: es sind Gesundheitsämter nicht wirklich davon begeistert, weil sie über diesen Prozess, der CWA nicht wirklich mehr Kontrolle haben, weil sie haben ja nichts mehr davon. Also die einzigen, die Kundschaft, die von der CWA kommt, ist dann höchstens die, die dann positiv testet. Aber bei den restlichen Personen hat sie ja quasi keinen Einfluss mehr, weil es sind ja anonyme Personen. Von daher klärt sich auch ein bisschen, warum Luca damals bei den Gesundheitsämtern so ein bisschen gut ankam; teilweise, nicht bei allen. Weil sie das Gefühl hatten, die Illusion von Kontrolle zu haben, weil es kamen dann plötzlich wieder Daten raus, mit denen hätte man irgendwas machen können, hätte man die denn die Zeit gehabt. Aber gelungener, effizienter digitaler Prozess ist das natürlich nicht. Auch nicht so gelungen ist bei dem Thema Luca, das Thema mit der Sicherheit. Wir haben jetzt... bei Luca wurde viel geworben mit: Wir haben ja so alles verschlüsselt, und auch doppelt verschlüsselt und das ist total sicher. Aber wir haben gelernt, dass Kryptographie allein keine Sicherheitsprobleme löst. Dazu gibt es zwei Sicherheitslücken, die ich jetzt auch offiziell bestätigt vom Ministerium für Soziales, Gesundheit und Integration des Landes Baden-Württemberg, hier als offiziell bestätigte Sicherheitslücke zitieren kann. Äh, blos, falls wieder irgendjemand das abstreiten sollte. Das Ausspähen von QR-Codes, QR- Code-Schlüsselanhängern, die Möglichkeit des Kopieren des Codes auf die Contact Historie des hinterlegten Codes zurückzugreifen. Und wir haben noch das Thema der Code Injection beim Download von CSV-Dateien durch die Gesundheitsämter. Das sind zwei Dinge, die gingen eigentlich komplett an dieser ganzen Verschlüsselung vorbei. Was ist passiert? Wir haben das Thema LucaTrack, da war ich mit beteiligt zusammen mit Tobias Rabenstein. Und was haben wir da gefunden? Bei Luca gabs so Schlüsselanhänger, das waren so QR-Codes wo du dich am Luca-System einchecken lassen hast können. War zu diesem QR-Codes allerdings noch einen Endpunkt angelegt, aus dem man dann auch noch sinnloserweise von diesen QR-Codes dann beliebig die Bewegungshistorie dieses QR-Codes auslesen konnte. Heißt: hatte man den QR-Code, hatte man auch die gesamte Bewegungshistorie bei allen mehreren 1000 Schlüsselanhängern. Da bringt dir auch nichts mehr mit Verschlüsselung. Weil wenn du den Schlüssel dazu auch noch mit dazu ablegst, ja dann kannst du dein Krypto-Konzept auch knicken. Ebenso knicken kannst du dein Krypto-Konzept wenn du auf die Idee kommst. Hmm, also angenommen ich schiebe jetzt in dieses Luca so Code rein, der vielleicht mit CSV versucht, Dinge zu erzeugen, also zum Beispiel in Excel eine Formel aufzulösen. Krieg ich das dann eigentlich durch? Ja, das ist damals passiert, als Markus Mengs dieses Thema mit der CSV-Injection bei Luca vorgeführt hat. Wir haben Schadcode in Excel, schreiben ihn in Luca in z.B. ein Kontaktdatenfeld. Wir nehmen mal die Postleitzahl weil es besonders absurd ist und tragen dann noch ein... Wir haben jetzt natürlich nicht direkt die Formel eingetragen. Sondern wir tragen da so ein Komma ein und machen dann noch ne Formel danach. Das war auch der ganze Witz bei der Nummer. Und dann kriegen wir das Gesundheitsamt dazu, dass sie diese Daten öffnen. Ja, sie müssen die wahrscheinlich auch öffnen, weil sie wollen ne Kontaktnachverfolgung machen. Also müssen Sie mit diesen Daten arbeiten. Machen diese Daten in Excel auf und tada! Theoretisch könnte man eine Ransomware auf ein Gesundheitsamt fahren. Das ist vom BSI auch als plausibel bezeichnet worden. Man muss es schon weit treiben, aber es ist durchaus plausibel. Und da bringt natürlich auch nichts, wenn du ein Krypto- Konzept hast. Wenn du als Krypto ein Konzept, wenn dem Krypto-Konzept vollkommen egal ist, was denn da eigentlich an Daten durch die Gegend geschoben wird. Wir lernen: Kryptographie ist toll, aber es ersetzt natürlich keine anderen Sicherheitskonzepte und sonstigen Sicherheitsmaßnahmen, die man eigentlich sinnvollerweise tun sollte, bevor man möglicherweise irgendein Krypto-Konzept über irgendwas drüber packt und sich sagt: Ja, toll, ist jetzt sicher wegen Krypto. Das ist das nämlich seltenst, sondern eher so ein Add-On. So. Was ich bei Luca auch so ein bisschen durchgezogen hat durch das Szenario ist so ein Phänomen, was ich mir als Digital-Savior-Phänom bezeichnen würde. Es gibt Menschen, die sagen ich kann doch hier Digitaltechnik. Ich kann Software. Damit kann ich jetzt alle Probleme der Welt lösen. Das ist meistens Unsinn. Denn Digital Saviors können allein keine Probleme lösen. Dazu folgendes, folgende Episode aus meinem Alltag. Ich hatte im März 2021 die Gelegenheit, zusammen mit dem Gesundheitsamt am Bodenseekreis die Luca-App zu pilotieren. Und wird durften die dann ein bisschen früher ausprobieren und sollten uns dazu eine Meinung bilden. Und wir stellten dann schon relativ früh fest, dass dieses Thema für Kontaktnachverfolgung, Masse und Effizienz und was auch immer fachlich extremst ungeeignet ist. Wir haben noch ein paar Bugs, ein paar Features, Feature- Requests, ein sonstige Dinge dem guten Hersteller auch mitgeteilt. Die meisten Dinge davon hat er inzwischen davon auch mal erledigt. Aber er hat durchaus relativ viel Produktentwicklung Know-How auch aus Gesundheitsämtern bekommen. Ja, aber dieses Luca war halt nicht so wirklich der Weisheit letzter Schluss und auch nicht so wirklich der große Bringer. Das war wie gesagt im März 2021 schon, wurde schon fachlich festgestellt, unter Mithilfe meiner Person. Das ist auch zitiert in der ZEIT in diesem wunderbaren Artikel von Eva Wolfangel. Und was in diesem Artikel auch aufkam neben diesem Problem, dass es fachlich einfach Luca das Produkt relativ ja an der Realität vorbei entwickelt wurde und es natürlich auch nicht die Rolle des Gesundheitsamtes ist, Entwicklungshilfe für private Betreiber zu leisten, kam natürlich auch noch auf, dass Gesundheitsämter natürlich diese Software auch nicht auditieren können. Weil ein Gesundheitsamt ist eigentlich nicht in der Lage so ein Audit bei einzelnen Anbietern zu machen. Dass ich das dann noch in meiner Freizeit gemacht habe, ist eine relativ lustige Episode, weil ich ja einerseits das Thema Luca fachlich schon mal mit betreut hatte und dann halt noch... Ja, man möchte natürlich auch wissen, wie so was technisch funktioniert als, als gute Nerdin. Deswegen, habe ich das noch ein bisschen nebenher angeguckt, wie jetzt, was so die Technik dahinter ist. Nachdem wir ja festgestellt haben, dass die fachliche Thematik ja nicht so wirklich gut abgedeckt wurde. Und ja, wir merken bei diesem Thema Luca auch immer wieder, dass es ... Es gibt so Menschen, die sagen: Ich löse mit digitalen Tools Probleme. Die sind aber meistens fachlich sehr ignorant. Weil sie haben ja ... verstehen ja das Digitale und dadurch verstehen sie auch irgendwie die Welt. Aber sie verstehen meistens die fachliche Dimension nicht. Auf der anderen Seite gibt es wiederum fachliche Expert.innen, die oft digital ignorant sind. Ich kenne durchaus viele Fachverfahrenshersteller, die sagen: Hier das ist ein super Fachverfahren. Auch in Gesundheitsämtern, auch im Kontaktnachverfolgungskontext, auch in Fachverfahren für Infektionsoftware, SORMAS. Die sind fachlich gut, aber meistens digital nicht so ganz ausgereift. Wir erkennen aber, dass eigentlich entstehen erfolgreiche digitale Anwendungen nur durch fachliche und digitale Expertise. Und, auch immer ganz wichtig, natürlich kann man das, kann man so nen Experten-System bauen. Aber das alles wird nur dann funktionieren, wenn du das wirklich auch nutzerzentriert baust. Sei es für Bürger.innen oder zum Beispiel auch so eine B2B-Anwendung für deine, ja, die Anwender.innen in deinen Ämtern, Verwaltungen oder sonstigen Expertensystemen. So, wenn man dann jetzt so zu Anwendungen baut, sollte man eigentlich erst mal anders denken. Man sollte nämlich zuerst in Infrastruktur denken, in APIs, und dann in Anwendungen. Das ist aber so ein bisschen schwierig, denn eigentlich wollen ja Leute Apps. Apps wiederum schießen aber keine Digitalisierungslücken. Wir haben es bei Luca irgendwie erwähnt ja, es gibt hier irgendwie so eine Checkin-App, die macht dann Check-Ins aber die löst zum Beispiel bestimmte Probleme ja nicht, die sich auch vielleicht wiederholen könnten. Also zum Beispiel das Thema "Wie kann ich Ende-zu-Ende-verschlüsselt Daten an ein Amt übermitteln, wenn ich als Bürger.in Informationen austauschen möchte, und zwar auf einer abstrakten Basis?" Ich kann natürlich jetzt sagen, Luca kann ja jetzt Daten hin-und- herschieben, aber das ist ja kein offener Standard, sondern es ist irgendwie so ein sehr spezielles System, das mit doppelter Verschlüsselung arbeitet, die auch sehr speziell ist auf den Anwendungsfall der Kontaktnachverfolgung. Weil es kommt tatsächlich echt selten vor, dass du Daten bei einem Anbieter zwischenparkst um sie dann an ein Amt zu schicken. Meistens gibt es einen direkten Austausch. Jetzt ist es aber so wenn man so eine Basisinfrastruktur baut und wenn man die jetzt in einer Pandemie baut, dann wird die jetzt nicht als besonders innovativ wahrgenommen. Aber es ist natürlich ein Problem, wenn sie nicht vorhanden ist, weil sie dann durch ihr Fehlen die digitale Innovation verhindert. So, idealerweise solltest du aber nicht nur Apps erzeugen, sondern eigentlich solltest du für digitale Infrastruktur sorgen. Wir haben das mal mit dem Thema IRIS versucht, also als Gegenentwurf zu skizzieren. Das ist die Architektur von IRIS Connect, das ist ein ähnliches System wie Luca: Das versucht auch, Gästelisten-Apps an Gesundheitsämter anzubinden und wir sehen hier so ein paar Sachen. Wir haben zum Beispiel einen IRIS Client im Gesundheitsamt, das ist dieses hier. Und dann haben wir zum Beispiel einen zentralen Teil im System, das sind aber im Prinzip nur Dinge, die notwendig sind, um Verbindungen herzustellen. Aber eigentlich haben wir verschiedene Clients in jeweiligen Gesundheitsämtern. Wir haben eine Anbindung an entsprechende Apps, wir haben Zertifikate, wir haben so Endpunktsysteme. Wir haben die Möglichkeit, das mit und Public und Private Proxies an Ämter Daten übermitteln können, sofern diese sie anfragen und wir haben eigentlich auf abstrakter Ebene ein System, was einfach ein digitales Basisinfrastrukturproblem löst und was dann halt noch als Nebeneffekt Gästelisten-Apps anbindet, was aber eigentlich sehr viel mehr tut, weil es einfach eine Basisinfrastruktur darstellt. Das kannst du nachher auch nutzen für andere Themen. Es müssen keine Gästelisten-Apps sein, es können Trinkwasserkontrollen sein, es können was- auch-immer sein, weil die Infrastruktur hast du ja. Du hast keine App gebaut, sondern du hast eine Infrastruktur in Code gegossen. Und das ist wie gesagt, wir verstehen IRIS Connect als Anbindung von Apps, aber auch als Basis öffentlicher digitaler Infrastruktur. Kommen wir fast zum Ende zum Thema mit guten Intentionen. Die schützen nicht vor Problemen. Wir hatten da im Juni diesen Jahres oder Mai diesen Jahres eine Anfrage, die hieß: "Könnt ihr da mal ein Security-Audit machen?" Es ging um ein Impfportal. Also "worum geht es denn?" "Ja, wir haben da so ein paar Tausend Emails von Menschen, die wollen sich impfen lassen". In diesem Moment war dann war dann eigentlich auch schon wieder, schlugen wir die Hände über dem Kopf zusammen und dachten uns "Ja, wie, ihr sammelt hier Emails, macht eigentlich auch noch so eine Art Impfregister. Habt ihr eigentlich schon verstanden, was ihr da gerade tut? Also Ihr sammelt Emails, schickt denen vielleicht noch irgendwelche Impftermine bei irgendwelchen Ärzten, Ärztinnen und loggt auch noch Daten davon mit? Es ist schon ein Problem, was ihr da gerade erzeugt." Das Problembewusstsein war nur bedingt ausgeprägt. Das Bewusstsein für für die sonstigen Probleme bei solchen Architekturen war auch nur bedingt ausgeprägt. Aber mit etwas Beratung und Support beim Thema Architektur und sonstigen Dingen konnten wir dann tatsächlich auch dieses Rescue Project auch noch so unterstützen, dass es auch noch gewisserweise retten konnten. Falls ihr euch fragt, was das für ein Portal war: Das Portal nannte sich "sofort- impfen.de". Die haben durchaus auch sehr, sehr viele Daten eingesammelt, haben sehr, sehr viele Ärzte ongeboarded, haben auch versucht, sehr sehr viele Impfungen zu vermitteln. Aber tatsächlich ist es auch so: selbst wenn du ein ein Rescue Projekt hast und du versuchst mit irgendwie mit digitalen Kenntnissen Probleme in der Welt zu verbessern, musst du dir auch gewahr sein, dass du deine guten Intentionen auch auch Nebenwirkungen haben können. Im Bereich Datenschutz, im Bereich IT- Sicherheit, im Bereich Liability, im Bereich sonst irgendwie. Es ist nicht immer nur an Rescue Project, sondern es ist auch immer Verantwortung, die du übernimmst; dem solltest du dir immer gewahr sein. So als Erkenntnis von sofort- impfen.de. Was mich zu der letzten Folie führt, zur letzten These: Es gibt immer so ein bisschen Frust über den kaputten Stand der Digitalisierung. Es ist vollkommen fein, diesen Frust zu nehmen und zu sagen "Lass es uns besser machen". Nimm deinen Frust, mach's besser, und das ist jetzt auch das Ende meines Vortrags und ich würde mich dann Fragen stellen. Herald: Ja, danke Bianca für diesen aufschlussreichen Vortrag. Falls ihr jetzt noch Fragen habt, könnt ihr die gerne auf Twitter oder Mastodon unter dem Hashtag #rc3cwtv, also chaos west stage TV, stellen und dann können mir Sie auch jetzt gleich im Anschluss beantworten. Die erste Frage wäre: Wie stehen die Chancen, dass andere Verwaltungen, Organisationen, Bürgeramt, diesem Beispiel folgen in der Digitalisierung? Insbesondere: Gibt es Kontakte zu ITDZ, also in Berlin, oder wollen die alles alleine machen? Bianca Kastl: Grundsätzlich sind die Chancen, dass Best Practices abgeguckt werden, eigentlich grundsätzlich gut. Aber man muss vielleicht auch ein bisschen gucken, was war davon jetzt besonders pandemiegetrieben und was war ein bisschen improvisiert? Was hätte man vielleicht unter anderen Voraussetzungen ein bisschen anders gemacht? Aber ich denke, man hat zumindest mal verstanden, dass man sowas tatsächlich auch agil machen kann. Es kommt aber, glaube ich, immer so ein bisschen auf die jeweilige Kommune an, das jeweilige Ministerium, ob geht es tatsächlich auch wirklich alle wollen. Und in der Pandemie wollten es alle, deswegen hat es ganz gut funktioniert. H: Wie ist es mit Open Data? Im Grunde sind die Daten ja wohl auch veröffentlichbar. Journalist.innen würden sich auch dafür interessieren. Und es gab da auch mal Beschwerden, weil das RKI dann ein Format mal unangekündigt am Wochenende änderte. B.K.: Also grundsätzlich können alle diese Daten, die Gesundheitsämter, rausgeben oder sie auch übermitteln. Die haben ja irgendwann dann auch keinen Personenbezug mehr. Das heißt, man könnte theoretisch auch in Richtung Open Data gehen. Es gibt auch Kommunen, die machen das zum Beispiel, dass sie zumindest ihre Tagesfallzahlendaten und sonstige Daten auch irgendwie als CSV zur Verfügung stellen. Es gibt jetzt allerdings nicht so eine hübsche REST-API, in der man irgendwie Open Data ausliefern könnte. Das hat z.B. auch SORMAS nicht, SORMAS es ist eher mal so gedacht als internes Fachsystem, was dann halt bei Bedarf Daten exportiert. Aber die sind nicht so ganz im API-Zeitalter angekommen, dass man das sinnvoll mit Open Data integrieren könnte, leider. H: Kannst du eine Einordnung geben, ob ein Impfregister mit der aktuellen Datenlage machbar ist? B.K.: Also rein fachlich gesehen ist es so, dass viele Gesundheitsämter aktuell ein bisschen das Problem haben, dass sie, wenn jetzt jemand natürlich sagt, er ist geimpft, weil er der Quarantäne entgehen will, dann ist die Nachweisbarkeit relativ schwierig, weil eigentlich - es gibt keinen keinen sinnvollen Weg, diese Daten sicher zu ermitteln. Also verschlüsselte E-Mails sind in den Gesundheitsämtern nicht verfügbar, Fax ist auch nichts. Und oftmals greift man halt dann Daten per Telefon ab, Chargennummern oder sonstige Dinge, um zumindest zu verifizieren, ob diese Impfung sinnvoll ist. Das wäre von dem Aufbau eines solchen Registers ein ziemlich umständlicher Weg. Das wäre einfach händisches Nacharbeiten. Wenn man so ein Register aufbauen wollen würde -das ist aber wirklich nur die theoretische Möglichkeit, ich persönlich habe da Zweifel - würde man das wahrscheinlich bei irgendeiner größeren Aktion machen, die eh stattfindet, sei es irgendwelche Auffrischimpfung, sonstige Dinge, das wäre wahrscheinlich einfacher, so was zu tun. H: Wenn du als Spezialistin ein Problem bearbeitest und dir Informationen fehlen, wo wirst du außerhalb deines eigenes Landkreises oder Bundeslandes zuerst fündig? Beim Bund oder in einem anderen Bundesland? B.K.: Das ist ein bisschen schwierig, da die Informationen zu finden. Es gibt so diese Bundesregularien, die man beim Bund relativ gut findet, wenn sie für den Bund gelten. Es gibt natürlich auch immer diese ganzen Landesnummern. Also das, was ich mit Ordnungsämter und Ortspolizeibehörden erklärt hatte, das war so in Baden- Württemberg-Sondernummer, die musst du dann immer beim Land finden, weil das Land hat eine Abweichung von dem was im Bund gilt. Und auch bei allem, was mit Corona zu tun hat, gab es immer die Corona- Landesverordnungen, im Vergleich zum Bund. Also es ist eigentlich immer: erst beim Land gucken, und dann gucken ob es vielleicht noch eine Bundesverordnung gibt, die dann irgendwie dem noch entgegensteht. Aber meistens ist es das Land, tatsächlich. H: Zum Thema Land und Bund: Gefühlt will da gerade keiner seine Zuständigkeit abgeben. Wenn zum Beispiel auf Ebene des Bundeslandes ist, führt es dazu, dass jedes Bundesland sein eigenes Süppchen kocht, weil sich die nicht auf etwas einigen können oder wollen. Irgendwelche Ideen, wie man diesen gordischen Knoten durchschlagen kann? Hilft ja nichts, wenn jeder das Rad neu erfindet und dann nichts zusammenpasst. B.K.: Es ist ein bisschen doof, dass man jetzt im SORMAS als Negativbeispiel für so was bringen muss, weil es war ja tatsächlich die Bundeslösung, zu sagen: "Wir haben eine Bundes-Investitionsschutz- Anwendung", die dann aber nicht wirklich funktioniert hat. Ich glaube, man kann den Leuten schon beibringen, dass ein Austausch von Daten über Bundeslandgrenzen hinweg, speziell auch zum Beispiel Investitionsschutz, eine sinnvolle Idee ist. Man muss aber Leute tatsächlich auch immer so ein bisschen da abholen, wo sie sagen können: Okay, hier ist eine Grundsoftware, die könnt ihr aber noch nach euren Landesspezifika und sonstigen Dingen noch ein bisschen anpassen. Weil irgendwie brauchen das so Länderfürsten, das irgendwie noch ihre Spezialitäten in der Software drin haben, weil sie einfach das Bundesland sowieso sind. Und im Sinne von von leicht anpassbarer Software, leicht anpassbaren Standards, kriegt man das hin. Man sollte aber nicht davon ausgehen, dass man oben Software reinwirft und dass die dann für alle super funktionieren wird; das geht leider nicht. H: Die nächste Frage wäre Ist die Luca-App aus deiner Sicht jetzt tot? B.K.: Technologisch ja und von der Wirkung einer Pandemie auch, weil es gibt de facto, wenn in Gesundheitsämtern keiner mehr dazu kommt, die Luka-App auszulösen, Daten abzufragen, passiert auch nichts. Das heißt, eigentlich ist jetzt die Arbeitslast so hoch, dass man sagen kann, sie hat keine Wirkung mehr. Und das hatten wir eigentlich auch schon zu Beginn dieser Pandemie gesagt. Dass wir das relativ selten nutzen werden. Man hat es uns dann nicht geglaubt, hat erst mal ein paar Monate ein paar Millionen ausgegeben. Was schade ist, aber irgendwie lernt man glaube ich nur doch durch Geldverschwendung. Ansonsten, ich wüsste jetzt nicht, was die noch für einen Nutzen haben soll, speziell mit Fallzahlen, wie sie vielleicht mit Omikron passieren könnten. H: Was war denn das wichtigste Kommunikationsmittel? GitLab? B.K.: In der Kommunikation mit, wie wir agil entwickelt haben, tatsächlich Gitlab, GitHub, je nachdem, in welchen Projekten das war. Und was tatsächlich auch spannend war, in der Verwaltung gibt es auch so Tendenzen, dass Menschen auch beginnen zu chatten und zwar tatsächlich über die VoIP-Anlage. Klingt komisch, aber wenn das VoIP-Programm auch noch chatten kann, ist es für Leute tatsächlich schneller als eine Email zu schreiben. Das hat es auch gegeben. H: Macht für dich Infektionsschutz auf Landesebene Sinn? B.K.: Ich glaube, Infektionsschutz auf Landes- oder dezentraler Ebene ist schon sinnvoll, weil, man muss tatsächlich auch an den Menschen nah dran sein. Es gibt da Spezifika, die man glaube ich auch nur rausfindet in irgendwelchen Datenzusammenhängen, die man nur kennt, wenn man Ortskenntnis hat. Ob man jetzt in jedem Land noch eigene Coronaverordnungen oder sonstige Dinge braucht, bin ich mir jetzt unsicher, würde ich mal eher sagen: Nein. Aber ich glaube, dass man das auch sehr lokal - Zumindest in der Ausführung ist es glaube ich wichtig, bei den gesetzlichen Regularien, kann man durchaus auch eher eine Vereinheitlichung anstreben, weil das vielleicht dann doch irgendwie ein bisschen einfacher zu handhaben ist in ganz Deutschland. H: Du hast von der Einbindung von Gemeinden, Ordnungsämtern mit 2-Faktor- Authentifizierung gesprochen. Wie lief das denn? Die fragenstellende Person kann sich das nicht mit ausreichendem Datenschutz vorstellen. B.K.: Ja, das ist eine Baden-Würtemberg- Sondernummer. Normalerweise ist es so, dass die Gesundheitsämter auch diese Aufgaben in Union ausführen, also quasi die Ortspolizeibehörden sind quasi die, die die Quarantäne auch überwachen. Und das wird ja in dem Fall - in Baden- Württember ist es so: die Polizeibehörde überwacht quasi die Quarantäne und übermittelt auch auch die Unterlagen dazu. Dafür gibt es in Baden-Württemberg auch eins mit der Datenschutzbehörde abgestimmtes Tool dazu. Das hat auch seinen rechtlichen Rahmen und es wurde mit dem Datenschutz auch abgestimmt. Auch der Kommunikationsweg ist abgestimmt und so weiter. Das ist aber tatsächlich eine Baden-Württemberg-Spezialität. Normalerweise läuft es zentral über das Gesundheitsamt des jeweiligen Kreises. H: Da interessiert sich noch wer dafür - Die Frage ist: "Ich wüsste gerne mal, wie die Corona-Warn-App die Daten der Impfzertifikate ablegt. Sind die gegen Zugriff durch andere Apps vernünftig gesichert? B.K.: Ja, das ist ein ganz tolles Thema, weil das hat sich jetzt nämlich gerade verändert. Normalerweise ist es so, dass die Corona-Warn-App tatsächlich die Daten sinnvollerweise auch nur auf dem Device speichert und Zugriff durch die anderen Apps ist meines Wissens nicht möglich. Nun hat die Corona-Warn-App mit Version 2.15 noch ein Update rausgebracht, in der es dann möglich ist, mit Ticket-Buchungen online das Impfzertifikat zur Prüfung an einen Prüfprovider zu übermitteln, in dem Fall die Telekom - da hat auch Lilith in der Keynote davon gesprochen. Das heißt, aktuell kann ich nicht abschließend sagen, dass es sicher ist, weil es gibt diese Funktion, dass Impfzertifikate an Online- Prüfprovider übermittelt werden, die sie dann an ein Ticket-Provider weiterleiten kann und sagen kann: "guck mal hier, ist geprüft", aber ich kann im aktuellen Zustand nicht sagen, dass das vollständig sicher ist, weil es gibt diese Möglichkeit zur Ausleitung an diese Prüfprovider. H: Schade. Weiß man ob Bundesländer schon ihre Luca-Lizenzen verlängert haben oder ob die das alle auslaufen lassen? B.K.: Also gibt es zum Beispiel, in Baden- Württemberg - da weiß ich es relativ gut, weil ich sitze hier in Stuttgart - da gibt es die Option, dass diese Lucageschichte auf zwei Jahre läuft. Und wenn das Land jetzt nicht kündigt, wird es sich verlängern und es ist, glaube ich, in den meisten Bundesländern so. Es gibt durchaus Bundesländer, die haben jetzt auch von den Regularien umgestellt darauf, dass auch die Corona-Warn-App möglich ist, zum Beispiel Baden-Württemberg oder auch Brandenburg oder Bremen. Da deutet sich an, dass zumindest eine Verlängerung nicht angestrebt wird. Es gibt aber Bundesländer, in denen wird das vielleicht unter Umständen weiter gehen. Aber das wird sich, glaube ich, erst dann so Anfang des Jahres bis zum April zeigen, wenn die Verträge dann tatsächlich auslaufen. H: Haben die Gesundheitsämter aus deiner Sicht etwas gelernt und sind auf künftige Pandemien besser vorbereitet? Und ich würde gern noch anhängen: Kann man vielleicht aus diesem Prozess sogar auf andere Behörden schließen und die besser in der Digitalisierung mitnehmen? B.K.:Also ich glaube, Gesundheitsämter, oder Behörden generell, haben verstanden, dass Digitalisierung tatsächlich auch etwas nutzen kann. Das ist, weil ich glaube, früher gab es eine so eine Geschichte, man wird jetzt nicht in eine Situation kommen, wo man dann plötzlich irgendwie vernetzte, dezentrale Remoteoffices braucht und so weiter, wo es total sinnvoll wäre. Die haben schon verstanden, dass das mit der Digitalisierung jetzt nicht so komplett falsch ist, dass es sie auch nutzen kann und dass man es auch zu seinem Vorteil nutzen kann. Das Problem, was man natürlich hat, ist, dass man jetzt aber nicht von null auf hundert irgendwie plötzlich dann hundert Digitalexpert.innen im Amt hat, sondern man muss immer nach den gleichen Ressourcen arbeiten, die man hat: Es ist zu wenig Personal, das Personal ist schlecht bezahlt, es fehlt an Kompetenz, es fehlt an Fortbildungen, es fehlt an vielen Dingen. Um da einen wirklichen Wandel auszulösen, müsste man mehr tun um dieses Digitalisierungs-Flow, den man in der Pandemie gelernt hat, in die nachpandemische Zeit zu überführen. Also ich glaube, in Gesundheitsämtern hat man das erkannt, aber ich glaube da scheitert es an den Ressourcen. In anderen Ämtern hat man es vielleicht auch erkannt, dass es schon ganz gut wäre, wenn man vielleicht auch mal Homeoffice oder sonstwas machen könnte und so weiter und wenn man das mit diesen Portalen ganz gut funktionieren würde. Aber da gibt es ein Resourcenproblem und ich glaube, den Spirit kann man mitnehmen, aber es hängt an vielen Ressourcen, die einfach - teilweise ist dieser Ressourcenmangel auch hausgemacht. H: Du sprichst öfter von wir. Mit wem arbeitest du denn zusammen? B.K.: Ja, es ist ein bisschen kompliziert, das in diesem Talk ausführlich zu erklären. Im Prinzip ist es so: Dieser Talk ist eigentlich zweigeteilt. Ich habe dieses Thema mit der Kontaktnachverfolgung im Bodenseekreis gemacht mit meiner Firma damals in Stuttgart, das ist die Firma cron. Das Thema IRIS ist zusammen mit dem InÖG entwickelt worden und der Björn- Steiger-Stiftung und das Thema mit den Securitysachen mit Leuten zusammen, wie man das halt so macht. H: Cool. Das war auch schon die letzte Frage. Danke Bianca für deinen Einsatz und dass du dich auch in deiner Freizeit so viel mit solchen Dingen beschäftigst, die uns alle beschäftigen. Das war auch hier auf der chaos-west- stage schon der letzte Tag für heute und ich wünsche euch allen noch einen vergnüglichen rC3. Abspannmusik Untertitel erstellt von c3subtitles.de im Jahr 2021. Mach mit und hilf uns!